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(54) Bezeichnung: Betriebssystem fiir eine Chipkarte mit einem Multi-Tasking Kernel 

(57) Zusammenfassung: Die Erfindung betrifft ein Verfah- c 
ren zum Betreiben einer Chipkarte (C), einen Mikroprozes- y 7 
sor zum Einsetzen in die Chipkarte (C) und ein Computer- 
programmprodukt sowie ein Verfahren zum Herstellen 
und/oder zum Warten einer Chipkarte (C), die mittels eines 
vorstehend beschriebenen Verfahrens betrieben wird. Da- 
bei ist zentraler Multi-Tasking Kernel (MTK) vorgesehen, 
der den gesamten Betrieb der Chipkarte (C) steuert, so 
dass auf der Chipkarte (C) mehrere Applikationen (A) 
gleichzeitig aktiviert werden konnen, wobei eine Applikati- 
on (A) auch sicherheitstechnische Funktionen fiir die Chip- 
karte (C) realisieren kann. 
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Beschreibung 

[0001] Die Erfindung liegt auf dem Gebiet der Chip- 
kartentechnik und betrifft insbesondere ein Verfahren 
und ein System zum Betreiben von mobilen Datentra- 
gern. 

[0002] Mobile Datentrager finden heute vielfaltige 
Einsatzgebiete vor, unteranderem als Chipkarte, wie 
z. B. die EC-Karte, die Anwendung als Zutritts- bzw. 
Zugangskontrolle, Chipkarten im Gesundheitswesen, 
im Bereich der Mobilfunktechnik als SIM-Karte (Sub- 
scriber Identity Module). Die SIM-Karte ist eine 
scheckkartengrofte Identifizierungskarte fur Teilneh- 
mer eines Mobilfunkdienstes und wird auch als 
"Smartcard" bezeichnet. Daruber hinaus gibt es noch 
eine Vielzahl von weiteren Anwendungsmoglichkei- 
ten von Chipkarten, etwa im Bereich der Navigati- 
onstechnik, bei digitalen Diktier- oder Kamerasyste- 
men etc. 

[0003] Ublicherweise umfasst der mobile Datentra- 
ger, insbesondere die Chipkarte, folgende Hard- 
ware-Ressourcen: Einen Mikroprozessor bzw. eine 
CPU (Central Processing Unit) zur Datenverarbei- 
tung, mehrere Datenspeicher unterschiedlicher Art, 
wie dem RAM (Random Access Memory), dem ROM 
(Read Only Memory) und dem EEPROM (Electrical 
Eraseable Read Only Memory) und Schnittstellen fur 
einen Datenaustausch zwischen den diversen Bau- 
teilen, insbesondere zwischen dem Mikroprozessor 
und den Datenspeichern und gegebenenfalls zu wei- 
teren Modulen auf der Chipkarte, sowie zu weiteren 
externen Modulen, die aufierhalb der Chipkarte vor- 
gesehen sind und mit der Chipkarte in Datenaus- 
tausch stehen sollen. Dabei kann es sich z. B. urn Le- 
segerate oder urn komplexere Back-Office-Systeme 
handeln. 

[0004] Je nach Anwendungsgebiet ist es moglich, 
auf der Chipkarte eine oder mehrere Applikationen 
laufen zu lassen. In diesem Fall, wenn also mehrere 
Anwendungen auf einer Chipkarte abgewickelt wer- 
den sollen, gewinnt der Sicherheitsaspekt verstarkt 
Bedeutung. Denn es muss sichergestellt sein, dass 
ein unberechtigter Datenzugriff sicher unterbunden 
werden kann. Bei mehreren Applikationen auf einer 
Karte steigt das Risiko insofern, da die Anwendungen 
in datentechnischer Hinsicht sicher voneinander ent- 
koppelt und abgeschottetsein miissen. So mussz. B. 
sichergestellt sein, dass kein unerlaubter Zugriff auf 
einen bestimmten Speicherbereich uber eine andere, 
fremde Applikation abgewickelt werden kann. 

[0005] Karten, auf denen mehrere Applikation abge- 
wickelt werden konnen, erfordern somit einen erhoh- 
ten Sicherheitsbedarf und sind komplexer; sie erfor- 
dern umfassendere Mechanismen zum Betreiben der 
Karte. 



[0006] Das Betreiben der Chipkarte an sich und die 
Abwicklung von darauf laufenden Programmen bzw. 
Applikationen fallen in den Aufgabenbereich des Be- 
triebssystems. Damit ist das Betriebssystem sozusa- 
gen eine Schnittstelle zwischen der eigentlichen An- 
wendungs-Software und der zugrunde liegenden 
Hardware der Chipkarte. Ublicherweise basieren die 
heutigen befehlsgetriggerten Chipkarten-Betriebs- 
systeme auf dem im Stand der Technik bekannten 
Standard ISO-781 6. In diesem Standard ist es vorge- 
sehen, dass alle Funktionen bzw. Befehle des Be- 
triebssystems und der Applikationen von Komman- 
dos getriggert werden, die uber eine externe Schnitt- 
stelle empfangen werden. Dabei werden die Befehle 
nur sequenziell, das heiftt also nacheinander, ausge- 
fiihrt. Mit anderen Worten gibt es damit nur einen 
Kontrollfluss fur Prozesse in den jeweiligen Program- 
men. Derzeitige Implementierungen auf Chipkarten 
bestehen somit nur aus Prozessen mit einem einzi- 
gen Ausfuhrungspfad bzw. mit einem einzigen 
Thread. Betriebssysteme, die ein Multi-Threading, 
also mehrere Ausfuhrungspfade, unterstutzen, sind 
fur Chipkarten bisher nicht bekannt. Dies ist jedoch 
ein schwerwiegender Nachteil, der die Flexibilitat 
beim Einsatz und beim Betreiben von Chipkarten 
deutlich einschrankt. 

[0007] Urn dem Nachteil der geringen Flexibilitat 
entgegenzuwirken, ist es im Stand der Technik bei 
Chipkarten-Betriebssystemen der neueren Genera- 
tion vorgesehen, dass der Programmcode zu beliebi- 
gen Zeitpunkten nachgeladen werden kann. Damit 
wird es moglich, auch nach Ausgabe der Karte ein- 
zelne Module bzw. Komponenten der Chipkarte ge- 
gen andere auszutauschen. Entsprechende Verfah- 
ren urn Applikationen uber eine ISO-781 6-konforme 
Schnittstelle zu laden, sind z. B. in dem Standard 
"Global Platform Standard, Global Platform Card 
Specification V2.1 .1" beschrieben. 

[0008] Betriebssysteme, die das Nachladen von 
Programmcode ermoglichen, konnen grundsatzlich 
in zwei Kategorien unterteilt werden: 

1 . Betriebssysteme, bei denen es vorgesehen ist, 
einen von einem Compiler bereits ubersetzten 
compilierten Code in die entsprechenden Dateien 
der Chipkarte zu laden. DieserAnsatz birgt jedoch 
ein grolies Sicherheitsrisiko, da es grundsatzlich 
moglich ist, dass ein nachgeladener Programm- 
code bei Mikrocontrollern, die ohne eine Memo- 
ry-Management-Unit (kurz MMU) arbeiten, auch 
auf fremde Speicherbereiche von anderen An- 
wendungen zugreifen kann. 

2. Betriebssysteme, die darauf basieren, dass 
nachzuladender Programmcode auf der Chipkar- 
te interpretiert wird. Der Interpreter pruft dann 
wahrend der Programmausfiihrung, welche 
Speicherbereiche angesprochen werden und 
kann damit sicherstellen, dass keine unerlaubten 
Zugriffe auf Fremdanwendungen ausgefuhrt wer- 
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den. Zu den bekanntesten Losungen dieses An- 
satzes zahlen die Javacard-Spezifikation (Ja- 
vacard-Standard, Java Virtual Machine, Javasoft, 
JCS) und der C-lnterpreter MEL (MEL steht fur 
Multos Executeable Langauge) von Multos. Der 
grundsatzliche Nachteil dieses zweiten Ansatzes 
ist darin zu sehen, dass Interpreter jedoch grund- 
satzlich langsam arbeiten und dies zu einer 
schlechten Performance fuhren kann. 

[0009] Heute auf dem Markt befindliche Mikrocont- 
roller fur Chipkarten sind in der Regel mit Prozesso- 
ren ausgestattet, die keine Speicherschutzmechanis- 
men oder sonstige Uberwachungsmoglichkeiten ge- 
gen unerlaubte Zugriffe haben. Urn diesem Sicher- 
heitsrisiko zu begegnen, wird der nachgeladene Pro- 
grammcode nicht direkt ausgefuhrt, sondern nur indi- 
rekt, z. B. uber eine so genannte virtuelle Maschine, 
die einzelne Programmbefehle (also den Bytecode) 
wiederum in plattformabhangigen Programmcode in- 
terpretiert, so dass Adressbereiche einzelner Pro- 
gramme bzw. Applikationen uber die virtuelle Maschi- 
ne oder uber den Interpreter getrennt sind. In der vir- 
tuellen Maschine wird definiert, welche Zugriffe er- 
laubt sind, bzw. auf welche Daten eine Applikation 
Zugriff hat. Ein wesentlicher Nachteil ist jedoch darin 
zu sehen, dass grundsatzlich nur Interpretercode 
nachgeladen werden kann. Plattformabhangiger Pro- 
grammcode, z. B. Treiber fur InpuWOutput-Schnitt- 
stellen konnen nach Kartenausgabe nicht mehrgela- 
den werden. 

[0010] Ein weiterer Nachteil ist darin zu sehen, dass 
die Sicherheit des Speicherschutzes auf der Sicher- 
heitdervirtuellen Maschine bzw. auf dem Interpreter 
beruht. Es ist zwar moglich, einen so genannten 
Bytecode-Verifier zur Verfugung zu stellen, der den 
Bytecode entsprechend uberpriift. Nachteilig ist je- 
doch, dass die erforderlichen Uberprufungen des Ve- 
rifiers aus Ressourcen- und/oder Performance-Grun- 
den vorwiegend aufterhalb der Chipkarte durchge- 
fuhrt werden. Werden die Uberprufungen des Byte- 
code-Verifiers jedoch auBerhalb der Chipkarte aus- 
gefuhrt, istdieserangreifbar. 

[0011] Daruber hinaus liegt ein weiterer, in der Pra- 
xis nicht zu vernachlassigender Nachteil der bekann- 
ten Losung in dem geringeren Umfang des Speicher- 
schutzes. Der Speicherschutz bei bisherigen Chip- 
karten-Betriebssystemen beruht bei diesem Ansatz 
ausschliefJIich auf dem Interpreter bzw. auf der virtu- 
ellen Maschine. Ein Speicherschutz fur umfassende- 
re, komplexere Systeme, die z. B. aus mehreren vir- 
tuellen Maschinen bestehen, sind nicht bekannt. Mit 
anderen Worten gibt es deshalb keine Losungen fur 
Chipkarten-Betriebssysteme mit einem Speicher- 
schutz beim Datenaustausch zwischen mehreren In- 
terpretern bzw. mehreren virtuellen Maschinen auf ei- 
ner Chipkarte. 



[0012] Die vorliegende Erfindung hat sich deshalb 
zur Aufgabe gestellt, einen Weg aufzuzeigen, mit 
dem ein deutlich verbesserter Speicherschutz fur 
Chipkarten-Betriebssysteme erreicht werden kann 
und der einen flexibleren Einsatz von Chipkarten er- 
moglicht. Daruber hinaus soil ein multi-taskingfahi- 
ges Betriebssystem fur Chipkarten bzw. eine ent- 
sprechende Chipkarte und ein entsprechender Mi- 
kroprozessor bereitgestellt werden. 

[0013] Diese Aufgabe wird mit einem Verfahren zum 
Betreiben eines mobilen Datentragers, mit einem 
mobilen Datentrager, einem Mikroprozessor, einem 
Computerprogrammprodukt und mit einem Verfahren 
zum Herstellen und zum Warten eines mobilen Da- 
tentragers gemali den beiliegenden unabhangigen 
Patentanspruchen gelost. 

[0014] Die Aufgabe wird insbesondere durch ein 
Verfahren zum Betreiben eines mobilen Datentragers 
gelost, der mit folgenden Ressourcen ausgestattet 
ist: 

-zumindest einem Mikroprozessor, 

- zumindest einem Datenspeicher, der ublicher- 
weise aus mehreren unterschiedlichen Daten- 
speicherbereichen besteht und 

- Schnittstellen fur einen Datenaustausch zwi- 
schen Mikroprozessor und Datenspeicher 
und/oder weiteren Modulen, die dem mobilen Da- 
tentrager zugeordnet sind, wobei auf dem mobilen 
Datentrager unterschiedliche Applikationen aus- 
gefuhrt werden konnen, indem der mobile Daten- 
trager eine zentrale Steuerungseinheit umfasst, 
die den Betrieb des mobilen Datentragers, insbe- 
sondere die Ausfuhrung der Applikationen, derart 
steuert und/oder uberwacht, dass gleichzeitig 
mehrere Applikationen aktiv sein konnen, indem 
nach einem konfigurierbaren Scheduling-Mecha- 
nismus jeweils einer Applikation Ressourcen zu- 
gewiesen oder entzogen werden und/oder der 
Datenaustausch gesteuert wird. 

[001 5] Bei dem mobilen Datentrager handelt es sich 
ublicherweise urn eine Chipkarte oder eine SIM-Kar- 
te oder urn sonstige Mikroprozessorkarten, die in ein 
Endgerat, wie z. B. in ein mobiles Endgerat, wie ein 
Handy, eingesetzt werden konnen. 

[0016] Die Erfindung kann auf unterschiedlichen 
Gebieten zum Einsatz kommen. So kann der erfin- 
dungsgemaGe mobile Datentrager z. B. in Navigati- 
onssystemen, PDAs, digitalen Diktiersystemen, digi- 
talen Kameras oder Telefonapparaten eingesetzt 
werden. Die hauptsachliche Ausfuhrungsform der Er- 
findung betrifft jedoch eine Chipkarte und insofern ist 
der Begriff Chipkarte als hauptsachliches Ausfuh- 
rungsbeispiel fur einen mobilen Datentrager zu ver- 
stehen. 

[0017] Eine Chipkarte umfasst in der Regel folgen- 
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de Hardware-Ressourcen: Einen Mikroprozessor zur 
Datenverarbeitung, Datenspeicher und Schnittstel- 
len. Es ist jedoch in alternativen Ausfiihrungsformen 
ebenfalls moglich, hier weitere Ressourcen vorzuse- 
hen, wie z. B. einen mathematischen Coprozessor. 

[0018] Bei den Schnittstellen handelt es sich in der 
Regel urn lnput-/Output-Schnittstellen. Auch hier 
konnen weitere Schnittstellen, etwa zu anderen ex- 
ternen und/oder internen Modulen, die dem mobilen 
Datentrager zugeordnet sind, vorgesehen sein. 

[0019] Kernpunkt des erfindungsgemaften Verfah- 
rens zum Betreiben der Chipkarte ist die zentrale 
Steuerungseinheit, die in der bevorzugten Ausfuh- 
rungsform als Multi-Tasking Kernel ausgebildet ist 
und ein Bestandteil eines - bestehenden oder neuen 
- Betriebssystems fur die Chipkarte ist. Der zentrale 
Multi-Tasking Kernel steuert und/oder kontrolliert Ab- 
laufe auf der Chipkarte und stellt geschutzte Bereiche 
fur die Ausfuhrung zur Verfugung. 

[0020] Im Gegensatz zu bekannten Betriebssyste- 
men aus dem Stand der Technik, bei denen die Be- 
fehle des Betriebssystems bzw. der Applikationen 
von Kommandos, die uber die externe Schnittstelle 
empfangen werden, getriggert und sequentiell nach- 
einander ausgefuhrt werden, werden gemaft der Er- 
findung alle Befehle durch den Multi-Tasking Kernel 
gesteuert. Der Multi-Tasking Kernel steuert den Be- 
trieb der Chipkarte und die Abwicklung der auf ihrlau- 
fenden Prozesse derart, dass gleichzeitig mehrere 
Applikationen auf ein und derselben Chipkarte aus- 
gefuhrt werden konnen. Dies wird erreicht, indem der 
Multi-Tasking Kernel nach einem Scheduling-Mecha- 
nismus, der vorzugsweise konfigurierbar ist, arbeitet. 
Der Scheduling-Mechanismus ist erlaubt - im Hin- 
blickauf die Gesamtheitalleraufdem mobilen Daten- 
trager aktivierbaren oder aktivierten Applikationen - 
eine optimierte Ausfuhrung bzw. ein optimierter Be- 
trieb des Datentragers. 

[0021] Der Multi-Tasking Kernel ermoglicht eine 
quasi-parallele Ausfuhrung von mehreren auf der 
Chipkarte ablauffahigen software-basierten Applikati- 
onen. Er synchronisiert mittels des Scheduling-Me- 
chanismus den Zugriff auf gemeinsame Betriebsmit- 
tel. Des Weiteren stellt er Mechanismen zum Zu- 
griffsschutz bereit, die vor einem unberechtigten Zu- 
griff auf Daten schutzen und die dem Schutz gegen 
Beeintrachtigungen des Ablaufs dienen. Dies wird er- 
reicht, indem der Multi-Tasking Kernel den Applikati- 
onen nach dem konfigurierbaren Scheduling-Mecha- 
nismus entsprechende Kontingente an Rechenzeit 
und an Ressourcen zuweist. Die Abwicklung bzw. 
Ausfuhrung von Befehlen wird erfindungsgemaU also 
ausschliefilich von dem zentralen Multi-Tasking Ker- 
nel getriggert. 

[0022] Der Multi-Tasking Kernel bietet also die M6g- 



lichkeit, verschiedene Anwenderprogramme oder 
verschiedene Applikationen quasi gleichzeitig auszu- 
fuhren, insbesondere mit der Option, Ressourcen 
(wie z. B. bestimmte Speicherbereiche im RAM oder 
im nicht-fluchtigen Speicher, Schnittstellen bzw. In- 
put-/Output-Kanale, kryptologische Module etc.) ex- 
klusiv einer Applikation zuzuweisen und sie bei Be- 
darfwiederzu entziehen. Dadurch kann eine Applika- 
tion im Zusammenspiel mit einem Chipkarten-Termi- 
nal z. B. eine "klassische" Chipkarten-Legacy-Aufga- 
be ausfuhren (z. B. Credit-/Debit-Befehle), wahrend 
eine andere Anwendung im Hintergrund ausgefuhrt 
wird. Durch den Einsatz des Multi-Tasking Kernels 
wird eine - einseitige oder gegenseitige - Beeinflus- 
sung von aktiven Anwendungen sicher unterbunden, 
was vorteilhafter Weise die Sicherheit des Gesamt- 
systems erhoht. 

[0023] Jeder Service bzw. jede Applikation verfugt 
uber einen geschutzten Adressraum. Es ist auch 
moglich, dass mehrere Applikationen bezuglich der 
Speicherverwaltung zusammengefasst werden, so 
dass sie in einem gemeinsamen Adressraum inte- 
griert werden. VorteilhafterWeise kann erfindungsge- 
mali ein gesicherter Datenaustausch zwischen alien 
beteiligten Modulen der Chipkarte ermoglicht wer- 
den. Insbesondere ist der Datenaustausch zwischen 
den einzelnen, unterschiedlichen Applikationen voll- 
standig durch den Multi-Tasking Kernel abgesichert, 
sowie ebenso der Datenaustausch mit anderen Mo- 
dulen, die moglicherwelse zu entsprechenden 
Schnittstellen an die Chipkarte angeschlossen wer- 
den, was insgesamt die Sicherheit des Gesamtsys- 
tems deutlich erhoht. 

[0024] Erfindungsgemaft ist die Funktionalitat der 
jeweiligen Applikationen bzw. Services nicht be- 
grenzt. Services, die in einem geschutzten Adress- 
raum liegen, konnen sogar die komplette Funktiona- 
litat eines bisher gangigen Chipkarten-Betriebssys- 
tems (z. B. EC-Karte, Zutrittskontrolle, SIM-Karte, 
Gesundheitskarte etc.) in einer Umgebung nachbil- 
den, die vor anderen Services geschutzt ist. Der er- 
findungsgemafte Schutzmechanismus kann die Ap- 
plikationen vollstandig voneinander kapseln, so dass 
mehrere virtuelle Chipkarten auf einer Hard- 
ware-Plattform sicher koexistieren konnen. 

[0025] Mit anderen Worten ist es durch die erfin- 
dungsgemafte Losung mittels des Multi-Tasking Ker- 
nels moglich, in strikt voneinander getrennten Berei- 
chen auf einer Hardware-Plattform, insbesondere auf 
ein und derselben Chipkarte, mehrere "virtuelle" 
Chipkarten anzubieten. Die einzelnen Applikationen, 
die jeweils "virtuelle Chipkarten" realisieren, sind da- 
bei nicht mehr - wie bei klassischen Betriebssyste- 
men aus dem Stand der Technik - urn die Komman- 
do-Schnittstelle gruppiert, sondern werden als Ser- 
vices uber die Funktionen des zentralen Multi-Tas- 
king Kernels gesteuert. 
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[0026] Ein weiterer zentraler Aspekt der vorliegen- 
den Erfindung ist in dem Speicherschutz zu sehen. 
Erfindungsgemali ist im Multi-Tasking Kernel ein 
Speicherschutz fur plattformabhangigen Programm- 
code realisiert. Damit konnen die vorstehend er- 
wahnten Nachteile des interpreter-basierten Spei- 
cherschutzes von den aus dem Stand der Technik 
bekannten Betriebssystemen uberwunden werden. 

[0027] In einer vorteilhaften Weiterbildung der Erfin- 
dung greiftder Multi-Tasking Kernel auf einen Mecha- 
nismus zur Unterstutzung der Trennung der Adress- 
raume zu, insbesondere auf eine Memory-Manage- 
ment-Unit (kurz: MMU) und/oder auf eine Memo- 
ry-Protection-Unit (kurz: MPU). Ein Vorteil dieses Me- 
chanismus ist es, dass eine deutlich verbesserte Si- 
cherheitssituation erreicht werden kann, im Vergleich 
zu einem rein software-basierten Interpreter oder ei- 
ner virtuellen Maschine aus dem Stand der Technik. 

[0028] Durch den Einsatz des Multi-Tasking Kernels 
an zentraler Stelle, das heiftt auf der hierarchisch 
hochsten Prioritatsstufe, konnen mehrere, gleichzei- 
tig aktive Applikationen auf einer Chipkarte ausge- 
fuhrt werden. Dadurch wird die Moglichkeit eroffnet, 
dass einzelne Applikationen parallel und damit 
gleichzeitig auf nicht-konfligierende Ressourcen zu- 
greifen konnen, und z.B. Daten uber moglicherweise 
unterschiedliche InpuWOutpunt-lnterfaces mit exter- 
nen oder internen Systemen austauschen konnen. 
Kumulativ oder alternativ konnen auch Daten im Hin- 
tergrund von einer Applikation bearbeitet, insbeson- 
dere vorbereitet, werden, ohne dass dies explizit uber 
eine externe Kommunikation getriggert wurde. 

[0029] Der Multi-Tasking Kernel sieht vor, dass Pri- 
oritaten, insbesondere in Bezug auf einzelne Applika- 
tionen oder Applikationsgruppen, vergeben werden 
konnen und, dass eine Rechenzeitkontrolle erfolgt. 
Durch die Uberwachung der Prioritaten und der Re- 
chenzeit kann der Multi-Tasking Kernel sicherstellen, 
dass die einer Applikation zur Verfugung stehende 
Rechenzeit bzw. Ausfuhrungszeit beschrankt ist und 
dass die durch den Multi-Tasking Kernel vorgegebe- 
nen Beschrankungen auch nicht manipuliert werden. 
Eine Beschrankung der Rechenzeit wird dadurch er- 
reicht, dass der Verbrauch der Rechenzeit vom Mul- 
ti-Tasking Kernel kontrolliert wird und die Rechenzeit 
in Form von Zeitquanten dezidiert den Applikationen 
zugewiesen wird. Die Manipulationssicherheit wird 
dadurch erreicht, dass ausschlieBlich der Multi-Tas- 
king Kernel in einem hoher privilegierten Betriebsmo- 
dus lauft, wahrend alle Applikationen in einem hierar- 
chisch niedriger angeordneten Anwendermodus ar- 
beiten. 

[0030] Neben der Synchronisation von aktiven Pro- 
zessen hat der Multi-Tasking Kernel jedoch noch wei- 
tere Aufgaben. So dient er erfindungsgemall ebenso 
zur Verwaltung der Ressourcen der Chipkarte (wie z. 



B. Speicherund Schnittstellen). Die Ressourcen kon- 
nen von der Applikation beim ersten Laden oder dy- 
namisch zur Laufzeit beim Multi-Tasking Kernel an- 
gefordert werden. Der Multi-Tasking Kernel entschei- 
det alleine und in erster Instanz, ob die Ressourcen 
exklusiv einer Applikation zugewiesen werden oder 
nicht. In nachster Instanz kann die Applikation weite- 
ren Sub-Applikationen Rechte weiterreichen, die klei- 
ner oder gleich der Rechte sind, die ihr zuvor vom 
Multi-Tasking Kernel eingeraumt worden sind. Somit 
ist auch eine Untervergabe bzw. einer Weitervergabe 
von Rechten an untergeordnete Sub-Applikationen 
vorgesehen. 

[0031] Des Weiteren dient der Multi-Tasking Kernel 
dazu, Mechanismen zum sicheren Datenaustausch 
zwischen den einzelnen Applikationen bereitzustel- 
len. Der durch den Multi-Tasking Kernel gesteuerte 
und/oder uberwachte Datenaustausch zwischen den 
Applikationen basiert grundsatzlich auf dem Prinzip, 
dass der Datenaustausch ausschlieUlich unter Kon- 
trolle des Multi-Tasking Kernels erfolgt. Hierfur sind 
grundsatzlich zwei Alternativen vorgesehen: 

1. Die beteiligten Applikationen stehen in Daten- 
austausch bzw. konnen entsprechende Nachrich- 
ten uber spezielle Multi-Tasking Kernel-Funkti- 
onsaufrufe austauschen. 

2. Die beteiligten Applikationen konnen Daten 
uber vordefinierte Speicherbereiche austau- 
schen, die mehreren - in diesem Fall den aktiven 
- Applikationen gerneinsam zur Verfugung ste- 
hen. 

[0032] Grundsatzlich ist es vorgesehen, dass jede 
Applikation selbst entscheidet, ob und welche Daten 
sie anderen Applikationen zur Verfugung stellt. Mit 
der erfindungsgemaGen Losung wird also der Vorteil 
erreicht, dass unterschiedliche Anwendungen auf ei- 
ner Chipkarte integriert werden konnen, die jedoch si- 
cher voneinander abgeschottet sind. 

[0033] Ein wesentlicher Vorteil der erfindungsgema- 
ften Losung ist des weiteren darin zu sehen, dass der 
grundsatzliche Vorteil der Flexibilitat, der unter ande- 
rem auch im Stand der Technik durch den Ansatz von 
nachladbarem Programmcode erreicht werden kann, 
auch mit der erfindungsgemaBen Losung aufrechter- 
halten und sogar deutlich verbessert werden kann. 
Grundsatzlich ist es moglich, auch nach Kartenaus- 
gabe Komponenten, insbesondere Systemkompo- 
nenten, im Chipkarten-Betriebssystem auszutau- 
schen oder neue Komponenten hinzuzufugen, wie z. 
B. Updates, oder Komponenten die dem Bug-fixing 
(der Fehlerbeseitigung) oder dergleichen dienen. 

[0034] In der bevorzugten Ausfuhrungsform der Er- 
findung ist es vorgesehen, dass grundsatzlich hard- 
warenahe Systemkomponenten - wie vorstehend er- 
wahnt-in dem Chipkarten-Betriebssystem, die nicht 
uber eine interpreter-basierte Programmiersprache 
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implementiertsind, wie z. B. Krypto-Routinen, Treiber 
fur InpuWOutput-Schnittstellen etc., nach Kartenaus- 
gabe ausgetauscht werden konnen. Dieser Aus- 
tausch erfolgt, ohne dass ungewollte und/oder scha- 
digende Einflusse auf andere Komponenten ausge- 
fuhrt werden, da der Speicherschutz des Multi-Tas- 
king Kernels eine Beeinflussung von anderen Kom- 
ponenten bzw. Betriebssystemkomponenten durch 
den ausgetauschten Service unterbindet. In einer 
vorteilhaften Weiterbildung der Erfindung ist es je- 
doch moglich, diesen Ansatz nicht nur auf Betriebs- 
systemkomponenten anzuwenden, sondern auch auf 
andere Komponenten des Chipkartensystems, die 
somit auch nach Kartenausgabe ausgetauscht wer- 
den konnen, wenn es die jeweilige Anwendung ohne 
eine Verursachung von weiteren Fehlern ermoglicht. 
Damit kann das auf dem mobilen Datentrager basie- 
rende System sehr flexibel eingesetzt werden und ist 
leicht veranderbar. 

[0035] Ein weiterer Vorteil der erfindungsgemaften 
Losung ist darin zu sehen, dass die Moglichkeiten 
des Datentransfers in Bezug auf die mobilen Daten- 
trager erweitert werden konnen. Durch die Steuerung 
des Multi-Tasking Kernels wird es moglich, notwendi- 
ge Kommunikationsprozesse optimiert zu triggern, 
dass eine parallele oder gleichzeitige Kommunikation 
mit internen oder externen Modulen uber mehrere 
gleiche oder andersartige Hardware-Schnittstellen 
erfolgt. Mit anderen Worten kann ein auf dem erfin- 
dungsgemafien Multi-Tasking Kernel basierendes 
Chipkartensystem die quasiparallele Ausfuhrung von 
Programmcode dazu nutzen, Daten gleichzeitig uber 
unterschiedliche InpuWOutput-Schnittstellen, z. B. 
iiber eine kontaktlose Schnittstelle nach dem Stan- 
dard IS014443 oder nach dem NFC-Standard (Near 
Field Communication) und parallel dazu iiber eine 
kontaktbehaftete Schnittstelle nach dem 
IS07816-Standard auszutauschen. Damit konnen 
insgesamt die Hardware-Ressourcen des mobilen 
Datentragers deutlich besser ausgenutzt werden, 
was insgesamt zu erhohter Abarbeitungsgeschwin- 
digkeit des Datentragers fuhrt. 

[0036] In der Regel sind zwei Betriebsmodi fur den 
Betrieb des mobilen Datentragers vorgesehen: Ein 
privilegierter Modus, in dem der zentrale Multi-Tas- 
king Kernel ablauft, dem weitergehende Rechte ein- 
geraumt sind als einem zweiten Modus, in dem 
grundsatzlich alle Anwendungen und/oder Prozesse 
bzw. Applikationen arbeiten. Je nach Anwendung 
des mobilen Datentragers ist es jedoch ebenso mog- 
lich, hier noch weitere Privilegierungsstufen vorzuse- 
hen. Notwendig ist es jedoch, dass der zentrale Mul- 
ti-Tasking Kernel jeweils am hochsten privilegiert ist, 
urn eine zentrale Steuerung des gesamten Betriebs 
des Datentragers zu ermoglichen. 

[0037] Grundsatzlich basiert der erfindungsgemaUe 
Multi-Tasking Kernel auf einem Scheduling-Mecha- 



nismus, der darauf ausgerichtet ist, im Hinblick auf 
die Gesamtheit aller auf dem Datentrager ablaufen- 
den Prozesse (umfassend Betriebssystemprozesse 
und Applikationsprozesse) eine optimierte Ausfuh- 
rung oder Abwicklung aller Prozesse zu bewerkstelli- 
gen. 

[0038] In einer bevorzugten Weiterbildung der Erfin- 
dung ist es vorgesehen, dass der Scheduling-Mecha- 
nismus auf einen Optimierungs-Algorithmus zugreift, 
der den Betrieb des Datentragers hinsichtlich einem 
oder mehreren der folgenden Optimierungskriterien 
optimiert: 

-eine Optimierung hinsichtlich Zeit, insbesondere 
bezuglich einer Abarbeitungsgeschwindigkeit, be- 
ziiglich einer Verweilzeit von Prozessen im Ar- 
beitsspeicher und/oder einer Antwortzeit der Pro- 
zesse; 

- eine Optimierung hinsichtlich der System-Res- 
sourcen, insbesondere Hardware-Ressourcen; 

- eine Optimierung hinsichtlich Speicherplatzbe- 
darf und 

- eine Optimierung hinsichtlich des notwendigen 
Datentransferns. 

[0039] In alternativen Ausfuhrungsformen sind noch 
weitere Optimierungskriterien konfigurierbar. Dies 
hat den Vorteil, dass die erfindungsgemaUe Losung 
sehr flexibel hinsichtlich der grundsatzlichen Prozes- 
sabwicklung ist. Das Betriebssystem der Chipkarte 
ist somit nicht auf ein bestimmtes Optimierungskrite- 
rium hin beschrankt. Ublicherweise wird der konfigu- 
rierbare Mechanismus aufgrund vordefinierter Einga- 
beparameter festgelegt. Die Eingabeparameter kon- 
nen uber entsprechende Schnittstellen eingelesen 
werden. Alternativ ist es moglich, dass fur bestimmte 
Anwendungen eine bevorzugte Behandlung der je- 
weiligen Applikation stattfindet. Dann kann der Mul- 
ti-Tasking Kernel einer bestimmten Applikation alle 
oder ausgewahlte Ressourcen exklusiv zuweisen. 
Die Ausbildung dieses Merkmals ist erfindungsge- 
maR jedoch nicht notwendig und lediglich optional. 

[0040] In alternativen Ausfuhrungsformen ist es 
auch moglich, andere Algorithmen zum Scheduling 
der Prozesse zum Betrieb des Datentragers vorzuse- 
hen. So ist es z. B. moglich, das Scheduling-Verfah- 
ren durchsatz-basiert und/oder auslastungs-basiert 
auszubilden. 

[0041] Damit die Aufgabe des Scheduling-Verfah- 
rens umgesetzt werden kann ist es notwendig, dass 
der Multi-Tasking Kernel automatisch fur jeden Pro- 
zess. dessen Ausfuhrungszeit erfasst und kontrol- 
liert. Des Weiteren wird eine Beschrankung fur die 
Ausfuhrungszeit jedes Prozesses vorgegeben (dies 
erfolgt nach dem Mechanismus: "Wie lange darf wel- 
cher Prozess dauern?"). Daraufhin ist es moglich, 
dass der Scheduling-Mechanismus automatisch die 
Ausfuhrungszeit fur eine jeweilige Applikation be- 
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schrankt, indem der Verbrauch der Rechenzeit kon- 
trolliert und indem die Einhaltung der Beschrankun- 
gen uberwacht wird. Optional kann auch eine ver- 
schachtelte bzw. verschrankte Verarbeitung von Pro- 
zessen gefahren werden, so dass insgesamt die Aus- 
fuhrungszeit aller notwendigen Prozesse auf dem 
Datentrager optimiert werden kann. Nach dem opti- 
mierten Scheduling-Verfahren wird dann Rechenzeit 
an den jeweiligen Prozess bzw. an die jeweilige Ap- 
plikation zugewiesen. 

[0042] Im Rahmen des Schedulings ist es moglich, 
dass einzelnen Applikationen und/oder einzelnen 
Prozessen Prioritaten zugewiesen werden, die bei 
dem Scheduling berucksichtigt werden. Daruber hin- 
aus ist es moglich, dass ein Prozess seine Prioritat 
an untergeordnete Subprozesse weitervererbt. 

[0043] In diesem Zusammenhang ist auf einen wei- 
teren wesentlichen Aspekt der erfindungsgemafien 
Losung hinsichtlich eines verbesserten Sicherheits- 
ansatzes hinzuweisen. Wie bereits erwahnt, konnen 
Chipkarten auch in Endgeraten, wie z. B. in Mobilte- 
lefonen eingesetzt werden und sind in diesem Fall als 
SIM-Karte ausgebildet. In diesem Anwendungsfall 
sind ublicherweise noch weitere Schnittstellen, wie z. 
B. USB- Oder MMC-Schnittstellen an dem SIM-Kon- 
takten im Mobiltelefon vorgesehen, uber die weitere 
Sicherheits-Devices angesprochen werden konnen, 
z. B. SecureMMC-Karten etc. Werden Chipkarten in 
Mobiltelefonen oder anderen mobilen Endgeraten 
eingesetzt, so ist es also haufig der Fall, dass Sicher- 
heitsmodule bzw. Sicherheitskomponenten, die Si- 
cherheitsuberprufungen durchfuhren sollen, in dem 
System verteilt ausgebildet sind. Diese Verteilung 
von sicherheitskritischen Funktionen auf unter- 
schiedliche Systeme und Komponenten in den chip- 
kartenbezogenen Bauteilen bzw. Geraten fuhrt zu 
mehreren Nachteilen. So erhohen sich zum Einen die 
Herstellungskosten, da mehrere Hardware-Elemente 
zum Einsatz kommen miissen und zum Anderen ist 
die Fehleranfalligkeit des Systems insgesamt deut- 
lich erhoht, da durch die Vielzahl der Module eine er- 
hohte Anfalligkeit fur Sicherheitsliicken besteht. Dar- 
uber hinaus ist es durch die bisherige verteilte Reali- 
sierung von sicherheitsrelevanten Funktionen not- 
wendig, in einem erhohten Mafi Daten zu transferie- 
ren. Dies fuhrt wiederum zu einer Sicherheitslucke, 
da grundsatzlich jeder Datentransfer ein Sicherheits- 
risiko in sich birgt. Mit dem multi-tasking-fahigen er- 
findungsgemaften Betriebssystem wird es jedoch 
moglich, dass die Chipkarte, die mit diesem System 
betrieben wird, mehr Funktionen ubernehmen kann, 
unter anderem neben den klassischen standardisier- 
ten Funktionen (im vorstehenden Beispiel neben der 
reinen SIM-Funktionalitat) noch weitere sicherheits- 
technische Funktionen. Zum anderen wird es mit die- 
sem Ansatz moglich, alle Sicherheitsfunktionen zen- 
tral an einer Stelle des Systems zu integrieren. 



[0044] In einer bevorzugten Ausfuhrungsform der 
Erfindung ist es deshalb vorgesehen, ein Sicherheits- 
modul vorzusehen, das so genannte Trust-Manage- 
ment-Modul (im Folgenden kurzals TMM abgekurzt). 
Dieses Modul wird ebenfalls von dem Multi-Tasking 
Kernel gesteuert. DasTMM-Modul kann unterschied- 
liche sicherheitskritische Aufgaben in einer geschutz- 
ten Umgebung ubernehmen, wie z. B. neben der rei- 
nen SIM-Funktionalitat eine DRM-Authentisierung 
(DRM steht fur Digital Rights Management und be- 
trifft ein Kontrollsystem zur Uberprufung einer Uber- 
tragung von geschutzten bzw. zu schutzenden Inhal- 
ten). Daruber hinaus konnen andere Autorisie- 
rungs-Mechanismen unterstutzt werden. 

[0045] Das TMM-Modul kann sowohl physikalisch 
als Hardwarebauteil ausgebildet sein. Es ist jedoch 
auch moglich, das Modul oder einzelne Funktionalita- 
ten des Moduls als Software bzw. als Computerpro- 
grammprodukt vorzusehen, die auf einem bestimm- 
ten Sicherheitsprozessor z. B. auf einem Secu- 
re-ARM-Core laufen. 

[0046] An dieser Stelle soli explizit darauf hingewie- 
sen werden, dass alle von dem zentralen Multi-Tas- 
king Kernel ansprechbaren Module sowohl in Hard- 
ware als auch in Software realisiert werden konnen, 
was die Flexibilitat des Systems insgesamt erhoht. 

[0047] Ein wichtiger Vorteil im Zusammenhang mit 
den Sicherheitsaspekten des TMM-Moduls ist darin 
zu sehen, dass Sicherheitsfunktionen flexibel nach- 
geladen werden konnen. Daruber hinaus ist es mog- 
lich, die Funktionalitat, die das erfindungsgemaBe 
TMM-Modul unterstutzt, im Unterschied zum Stand 
der Technik deutlich zu erhohen. Damit kann das er- 
findungsgemaft vom Multi-Tasking Kernel betriebene 
TMM-Modul deutlich mehr Funktionalitaten bieten, 
als es z.B. von Javacard-Applets bekannt ist. Dazu 
gehoren plattformabhangige Treiber fur Sicherheits- 
protokolle, wie IPSec oder SSL/TLS oder Authorisie- 
rungssysteme fur das Digital Rights Management im 
Zusammenhang mit Multimedia-lnhalten. 

[0048] Ein wesentlicher, vorteilhafter Aspekt des er- 
findungsgemaften TMM-Moduls ist des Weiteren da- 
rin zu sehen, dass es auch selbst aktiv Sicherheitsu- 
berprufungen durchfuhren kann. Dies ist bei bisheri- 
gen TPM-Modulen nicht der Fall (Trusted Platform 
Module, kurz TPM, ist ein Sicherheitsstandard, der 
von der Trusted Computing Group entwickelt worden 
ist; die Module dieses Standards werden grundsatz- 
lich als System-on-Chip realisiert). Im Gegensatz zu 
den bekannten TPM-Modulen aus dem Stand der 
Technik wird das erfindungsgemaGe TMM-Modul 
nicht als reiner Slave betrieben, der nur auf Anfragen 
einer anderen Instanz antwortet, sondern das 
TMM-Modul kann auch selbstandig Aktionen steu- 
ern. Dieses Merkmal der selbststandigen Steuerung 
ist jedoch nicht zwingend und nurfakultativ. 
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[0049] Insgesamt kann durch den erfindungsgema- 
lien Betrieb der Chipkarte mit einem TMM-Modul ein 
verbesserter Speicherschutz erzielt werden. Durch 
das multi-tasking-fahige Betriebssystem konnen un- 
terschiedliche sicherheitskritische Aufgaben in einem 
Sicherheitssystem, insbesondere in einem spezifi- 
schen Chipkartenprozessor, untergebracht und damit 
realisiert werden. 

[0050] Es gibt unterschiedliche Ausfuhrungsformen, 
in denen das TMM-Modul auf dem mobilen Datentra- 
ger realisiert sein kann. So ist es moglich, das 
TMM-Modul steckbar oder fest verdrahtet zu realisie- 
ren, oder es kann bereits auf dem Halbleiter integriert 
sein. Daruber hinaus ist es moglich, das Modul uber 
unterschiedliche Protokolle, wie z. B. uber das 
IS07816 T=0 oder T=1, uber eine USB- oder uber 
eine MMC-Schnittstelle oder allgemein uber den Pro- 
zessorbus anzuschliefien. Daruber hinaus ist es op- 
tional moglich, einen TCP-IP/Stack auf dem 
Schicht2-Protokoll vorzusehen. 

[0051] Weitere Losungen der eingangs erwahnten 
Aufgabe liegen in einem Betriebssystem oder in Be- 
triebssystemkomponenten, in einem mobilen Daten- 
trager, in einem Mikroprozessor zum Einsetzen in 
den mobilen Datentrager, in einem Computerpro- 
grammprodukt und in einem Verfahren zum Herstel- 
len oder zum Warten des mobilen Datentragers ge- 
maR, den beiliegenden Hauptanspruchen. Grund- 
satzlich ist in diesem Zusammenhang darauf hinzu- 
weisen, dass die Beschreibung der Erfindung auf 
eine Beschreibung des erfindungsgemafien Verfah- 
rens gestutzt ist. Vorteilhafte Ausfuhrungsform, Vor- 
teile und Weiterbildungen, die im Zusammenhang mit 
dem Verfahren beschrieben werden, gelten entspre- 
chend auch fur die anderen Losungen der Erfindung, 
insbesondere durch den mobilen Datentrager, den 
Mikroprozessor und das Computerprogrammpro- 
dukt. Demnach konnen die vorstehend genannten 
Losungen auch mittels der Merkmale aus den Unter- 
anspruchen zu dem erfindungsgemafien Verfahren 
weitergebildet sein. 

[0052] Die vorstehend beschriebenen, erfindungs- 
gemalien Ausfuhrungsformen des Verfahren konnen 
auch als Computerprogrammprodukt ausgebildet 
sein, mit einem von einem Computer lesbaren Medi- 
um und mit einem Computerprogramm und zugeho- 
rigen Programmcode-Mitteln, wobei der Computer 
nach Laden des Computerprogramms zur Durchfuh- 
rung des oben beschriebenen, erfindungsgemafien 
Verfahrens veranlasst wird. 

[0053] Eine alternative Aufgabenlosung sieht ein 
Speichermedium vor, das zur Speicherung des vor- 
stehend beschriebenen, computer-implementierten 
Verfahrens bestimmt ist und von einem Computer 
lesbar ist. 



[0054] Eine weitere Losung der Aufgabe ist darin zu 
sehen, dass das oben beschriebene Verfahren als 
Betriebssystem oder Betriebssystemkomponente fur 
einen mobilen Datentrager ausgebildet ist, der ge- 
mali zumindest einem Merkmal des Verfahrens be- 
trieben wird. 

[0055] Zusatzliche, vorteilhafte Ausfuhrungsformen 
ergeben sich aus den Unteranspruchen. 

[0056] In der folgenden detaillierten Figurenbe- 
schreibung werden nicht einschrankend zu verste- 
hende Ausfuhrungsbeispiele mit deren Merkmalen 
und weiteren Vorteilen anhand der Zeichnung be- 
sprochen. In dieser zeigen: 

[0057] Fi&J. eine schematische, ubersichtsartige 
Darstellung eines erfindungsgemaften Multi-Tasking 
Kernels, der den Betrieb des mobilen Datentragers 
gemafi einer Ausfuhrungsform der Erfindung steuert, 

[0058] Fig. 2 eine ubersichtsartige Darstellung ei- 
ner Aktivierung von Applikationen durch den erfin- 
dungsgemaften Multi-Tasking Kernel gemad einer 
bevorzugten Ausfuhrungsform und 

[0059] Fig. 3 eine ubersichtsartige Darstellung ei- 
ner moglichen Strukturierung von Bauteilen eines er- 
findungsgemaften Datentragers. 

[0060] In der bevorzugten Ausfuhrungsform und im 
Folgenden ist ein mobiler Datentrager als Chipkarte 
C ausgebildet. Die Anwendungen der Chipkarte C 
sindjedoch grundsatzlich nicht begrenzt und konnen 
auf dem Gebiet des Zahlungsverkehrs, des Finanz- 
wesens, der Zutrittskontrolle liegen. Des Weiteren ist 
es moglich, dass die Chipkarte C zum Einsatz in wei- 
teren Geraten, z. B. mobilen Endgeraten wie Telefo- 
nen, eingesetzt wird und es sich insbesondere urn 
eine erfindungsgemali erweiterte SIM-Karte handelt. 

[0061] Grundsatzlich wird die Chipkarte C selbst 
und die auf ihr ablaufenden Applikationen A durch ein 
Betriebssystem gesteuert. Bei bisherigen Chipkar- 
ten-Betriebssystemen waren die Programm-Module 
des Betriebssystems ublicherweise in einem 
ROM-Speicherbaustein gespeichert (Read-Only-Me- 
mory ROM). Urn den Nachteilen einer Speicherung 
von Betriebssystemkomponenten ausschliefilich in 
den ROM-Speicher zu begegnen, kann es vorgese- 
hen sein. einzelne Betriebssystemkomponenten 
auch in anderen Speicherbereichen, wie z.B. durch 
einen Arbeitsbereich in EEPROM, zu losen. Zu den 
Hauptaufgaben eines Chipkarten-Betriebssystems 
zahlen der Datenaustausch mit der Chipkarte, die 
Ablaufsteuerung der auszufuhrenden Befehle, die 
Dateiverwaltung und die Verwaltung und Ausfuhrung 
von sicherheitstechnischen Funktionen und Algorith- 
men, wie kryptografischen Schlusseln etc. Daruber 
hinaus ist es moglich, in einem Bereich der hierar- 
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chisch uber den Applikationsbefehlen angeordnet ist, 
einen Interpreter oder ein Prufprogramm fur ausfuhr- 
bare Dateien vorzusehen. Der Interpreter dient dazu, 
die in diesen Dateien enthaltenen Programme auszu- 
fuhren oder sie zu interpretieren. Mit dieser Art von 
Betriebssystemen ist es moglich, Programmcode 
auch zu einem spateren Zeitpunkt, insbesondere 
nach Kartenausgabe, nachzuladen. 

[0062] Wie in Fig. 3 beispielhaft dargestellt, umfasst 
die Chipkarte C einen eingebetteten Mikrocontroller, 
der alle Aktivitaten der Chipkarte C triggert, steuert 
und uberwacht. Die wichtigsten, typischen Bausteine 
eines Chipkarten-Mikrocontrollers sind der Mikropro- 
zessor MP, alle Schnittstellen SS der Chipkarte C, 
insbesondere der Adress- und Datenbus und die Da- 
tenspeicher DS, die alle unterschiedlichen Speicher- 
arten umfassen, wie RAM, ROM und EEPROM. Die 
Schnittstellen SS der Chipkarte C umfassen alle In- 
puWOutput-Schnittstellen fur die Chipkarte C und be- 
treffen somit den gesamten Datentransfer, der in Be- 
zug auf die Chipkarte C anfallt. 

[0063] Erfindungsgemaft ist zusatzlich zu diesen 
Bauteilen eine zentrale Steuerungseinrichtung MTK 
vorgesehen, die insbesondere durch den Multi-Tas- 
king Kernel gebildet wird. In H&Ji ist der Multi-Tas- 
king Kernel MTK als separates Bauteil auf der Chip- 
karte C dargestellt. Dies soil verdeutlichen, dass der 
Multi-Tasking Kernel MTK - im Gegensatz zu den be- 
kannten Chipkarten-Betriebssystemen - als zusatzli- 
ches Bauteil vorgesehen ist. In der Regel wird er je- 
doch nicht als separates, selbststandiges Bauteil vor- 
gesehen sein, sondern in anderen Bereichen der 
Chipkarte als separates Modul integriert sein. Insbe- 
sondere wird er als modulare, separate Betriebssys- 
temkomponente zusatzlich zu dem bisherigen Be- 
triebssystem der Chipkarte C vorgesehen sein. 

[0064] Je nach Anwendung der Chipkarte C um- 
fasst diese mehrere Applikationen bzw. Services A, 
die auf der Chipkarte ablaufen sollen. 

[0065] Im Rahmen dieser Erfindung sind die Begrif- 
fe 'Applikation" A und "Service" A synonym zu ver- 
stehen. Eine Applikation A umfasst mehrere Befehle 
bzw. Prozesse, die zu unterschiedlichen Zeitpunkten 
ausgefuhrt werden miissen oder konnen. Eine An- 
wendung umfasst in der Regel mehrere Applikatio- 
nen A. Es ist jedoch grundsatzlich auch moglich, 
dass eine sehr einfache Anwendung lediglich aus ei- 
ner einzigen Applikation A besteht. 

[0066] Durch den zentralen Multi-Tasking Kernel 
MTK wird die Moglichkeit geschaffen, auf ein und 
derselben Hardware-Plattform einer Chipkarte C 
mehrere, sozusagen "virtuelle" Chipkarten anzubie- 
ten. Die einzelnen virtuellen Chipkarten sind dabei 
streng voneinander getrennt, da alle Applikationen 
und Befehle uber den zentralen Multi-Tasking Kernel 



MTK gesteuert werden. Eine einseitige oder wech- 
selseitige Beeinflussung von aktiven Applikationen 
oder Anwendungen wird damit durch den Multi-Tas- 
king Kernel MTK sicher unterbunden. 

[0067] Der Multi-Tasking Kernel MTK weist den Ap- 
plikationen A entsprechende Kontingente an Re- 
chenzeit und Ressourcen nach einem konfigurierba- 
ren Scheduling-Verfahren zu. Wie in Fig. 1 exempla- 
risch dargestellt, stehen alle Applikationen A bzw. 
Chipkartenservices A mit dem Multi-Tasking Kernel 
MTK in Datenaustausch und werden von diesen ge- 
steuert und ausgefuhrt. In Fig. 1 ist angedeutet, dass 
das Scheduling des Multi-Tasking Kernels MTK zeit- 
basiert ist. Dies soil durch die zeitscheibenartige Dar- 
stellung in Fig. 1 verdeutlicht werden. Der Multi-Tas- 
king Kernel MTK uberwacht und steuert zur Ausfuh- 
rungszeit die Abwicklung der einzelnen Applikatio- 
nen. Mittels des konfigurierbaren Scheduling-Mecha- 
nismus wird jeweils einer Applikation automatisch ein 
Kontingentan Rechenzeit und Ressourcen zurVerfu- 
gung gestellt, die von der jeweiligen Applikation A ge- 
nutzt werden konnen. Die Ausfuhrungszeit jeder Ap- 
plikation A ist somit automatisch in einem konfigurier- 
baren Mad beschrankt. 

[0068] In der bevorzugten Ausfuhrungsform der Er- 
findung muss der Multi-Tasking Kernel MTK eine 
Analyse des bestehenden Systemzustandes mit ent- 
sprechend zu triggernden Applikationen A ausfuhren 
und muss daraufhin die gesamte Abwicklung bzw. 
den Betrieb der Chipkarte C steuern, so dass im Hin- 
blick auf die Gesamtheit aller auszufuhrenden Befeh- 
le eine optimierte Ausfuhrung erfolgt. Dabei sind die 
Optimierungskriterien konfigurierbar: z. B. eine Opti- 
mierung hinsichtlich Zeit, Systemressourcen, Spei- 
cherplatz, Stromverbrauch etc. 

[0069] Vor Ausfuhrung einer jeweiligen Applikation 
A erfasst der Multi-Tasking Kernel MTK, wie viel Re- 
chenzeit fur die Ausfuhrung notwendig ist und wie viel 
und/oder welche Ressourcen erforderlich sind. Sol- 
len nun mehrere Applikationen A ausgefuhrt werden, 
so kann der Multi-Tasking Kernel MTK aufgrund der 
Analyse der Rechenzeit und der benotigten Ressour- 
cen aller Applikationen einen optimierte Abwicklung 
einzelner Prozesse, die den jeweiligen Applikationen 
A zugeordnet sind, triggern. Hat z. B. eine erste Ap- 
plikation A, die Aufgabe, Daten uber eine kontaktlose 
Schnittstelle an ein externes Modul weiterzuleiten 
und hat z. B. eine zweite Applikation A 2 die Aufgabe, 
Daten von einem weiteren externen Modul uber eine 
kontaktbehaftete Schnittstelle zu empfangen, so 
kann der Multi-Tasking Kernel MTK eine quasi-paral- 
lele, das heiftt gleichzeitige Aktivierung der beiden 
Applikationen A 1 und A 2 veranlassen, da die beiden 
Applikationen auf unterschiedliche Ressourcen (in 
diesem Fall unterschiedliche Schnittstellen SS) zu- 
greifen. Damit kann der bei bisherigen Systemen aus 
dem Stand der Technik sequenzielle Abarbeitungs- 
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pfad von Befehlen parallelisiert werden und auf meh- 
rere gleichlaufige Prozesse aufgeteilt werden, so 
dass insgesamt die Performance gesteigert werden 
kann. 

[0070] Durch das Betreiben der Chipkarte C mit 
dem erfindungsgemaden Multi-Tasking Kernel MTK 
ist es moglich, mehrere nebenlaufige Threads zu rea- 
lisieren, falls keine konkurrierenden bzw. konfligie- 
renden Zugriffe auf gleiche Ressourcen notwendig 
sind. Es kann vorgesehen sein, dass der Multi-Tas- 
king Kernel MTK auf ein zeitbasiertes Scheduling zu- 
greift, falls er einen konkurrierenden Zugriff von un- 
terschiedlichen Applikationen zur selben Zeit auf glei- 
che Ressourcen erfasst. Das zeitbasierte Scheduling 
siehtdann vor, dass die Gesamtheit der auszufuhren- 
den Prozesse der beiden Applikationen A, und A 2 so 
gesteuert wird, dass insgesamt (also im Hinblick auf 
die Gesamtheit der beiden Applikationen A, und A 2 ) 
eine optimierte, insbesondere zeit-optimierte, Aus- 
fuhrung ermoglicht wird. Damit ist es z. B. moglich, 
Daten einer Anwendung A, im Hintergrund vorberei- 
ten zu lassen, wahrend eine andere Anwendung z. 
B. mit einem externen System uber Schnittstellen SS 
kommuniziert. 

[0071] In JFj^J, ist schematisch dargestellt, wie der 
Multi-Tasking Kernel MTK unterschiedliche Applikati- 
onen A^ A 2 , A 3 auf optimierte Weise aktiviert. 

[0072] Die in Fig. 2 dargestellten Applikationen A. 
und A 2 werden jeweils durch externe Systeme verur- 
sacht. Dies kann z. B. eine Kontoumsatzanfrage im 
Rahmen einer finanziellen Anwendung sein. Kernge- 
danke der vorliegenden Erfindung ist es, dass die 
einzelnen Anfragen und auszufuhrenden Befehle 
nicht mehr direkt ausgefuhrt werden, sondern alle 
uber den zentralen Multi-Tasking Kernel MTK gesteu- 
ert werden. Aufgrund des Scheduling-Algorithmus 
aktiviert der Multi-Tasking Kernel MTK einzelne Pro- 
zesse der Applikationen A 1; A 2 und A 3 ,..., A derart, 
dass eine optimierte Ausfuhrung der Gesamtheit aller 
Applikationen A, ermoglicht wird. In Fkk_2 ist dies dar- 
gestellt, indem die vom Multi-Tasking Kernel MTK ak- 
tivierten Applikationen mit einem dicken vertikal ver- 
laufenden Strich gekennzeichnet sind, wahrend die 
jeweiligen Prozesse bzw. Befehle einer Applikation 
A, die gerade nicht aktiv sind, bzw. vom Multi-Tasking 
Kernel MTK nicht aktiviert wurden, lediglich mit einem 
dunnen vertikalen Strich gekennzeichnet sind. So ist 
ersichtlich, dass der Multi-Tasking Kernel MTK auf 
Anfrage des externen Systems 1 B als erstes die Ap- 
plikation A 1 aktiviert und daraufhin einen Befehlszyk- 
lus der Applikation A 2 , der von dem externen System 
1A verursacht worden ist. Im Anschluss daran wird 
wieder zur Applikation A 1 zuruckgekehrt, urn darauf- 
hin die Applikation A 3 zu beginnen und anschlieBend 
die Applikation A 2 zu beenden. Im Anschluss an das 
Beenden der Applikation A 2 werden die restlichen Be- 
fehle der Applikation A 3 ausgefuhrt. Insgesamt ist so 



ein zeitoptimiertes Scheduling der Gesamtheit der 
Applikationen A; moglich. 

[0073] Ein zentraler Aspekt der vorliegenden Erfin- 
dung liegt in verbesserten Sicherheitsvorkehrungen, 
insbesondere in einem verbesserten Speicherschutz. 
In diesem Fall ist es vorgesehen, dass in zumindest 
einer Applikation A alle sicherheitsrelevanten Befehle 
bzw. Prozesse, die im Rahmen des Betriebs der 
Chipkarte C notwendig sind, zusammengefasst und 
integriert werden. Diese Applikation A bzw. dieses 
Modul wird TMM-Modul (Trust Management Module) 
genannt. In diesem Modul sind also alle sicherheits- 
relevanten Funktionen und Befehle zusammenge- 
fasst. Es ist moglich, weitere Sicherheitsfunktionen 
flexibel uber bestimmte Protokolle nachzuladen. 

[0074] Erfindungsgemaft kann der Inhalt des 
TMM-Moduls flexibel konfiguriert werden. Damit ist 
es moglich, je nach Anwendung, unterschiedliche Si- 
cherheitsmechanismen zu aktivieren und/oder zu 
deaktivieren, urn eine optimale sicherheitstechnische 
Abdeckung der Chipkarte C fur den jeweiligen An- 
wendungsfall zu erzielen. Das TMM-Modul ist erfin- 
dungsgemad, so ausgelegt, dass es auch aktiv Si- 
cherheitsuberprufungen durchfuhren kann und somit 
nicht -wie im Stand derTechnik-als reiner abhangi- 
ger Prozess betrieben wird. 

[0075] Ein weiterer, wesentlicher Vorteil der erfin- 
dungsgemaUen Losung ist darin zu sehen, dass die 
sicherheitstechnischen Prozesse, die im TMM-Modul 
integriert sind, optimiert in den Ablauf bzw. in den ge- 
samten Betrieb der Chipkarte C eingefasst werden 
konnen. Dies hat den Hintergrund, dass gewisse si- 
cherheitstechnische Uberprufungen nurzu einem be- 
stimmten Zeitpunkt im Systemablauf Sinn machen. 
So ist z. B. eine AuthentifizierungsmaRnahme nurvor 
Beginn einer Transaktion sinnvoll, wahrend weitere 
sicherheitstechnische Maftnahmen auch zu einem 
spateren Zeitpunkt ausgefuhrt werden konnen. Die 
optimale, insbesondere zeitoptimierte, Steuerung al- 
ler Prozesse auf der Chipkarte C wird durch den Mul- 
ti-Tasking Kernel MTK kontrolliert und uberwacht. 

[0076] Fur die erfindungsgemafie Losung ist es 
auch moglich, dass spezifische Sicherheitsmecha- 
nismen, die beispielsweise nur bei einer bestimmten 
Anwendung einzusetzen sind, durch das flexibel kon- 
figurierbare TMM-Modul beim Betreiben der Chipkar- 
te C eingesetzt werden konnen. Im Unterschied zu 
den Verfahren aus dem Stand der Technik war bisher 
keine Anpassung hinsichtlich sicherheitstechnischer 
Maftnahmen an eine bestimmte Art von Anwendung 
moglich. Dieser Nachteil wird mit der erfindungsge- 
malien Losung vollstandig beseitigt. 

[0077] Die erfindungsgemalie Losung ist vorteilhaf- 
ter Weise unabhangig von der jeweiligen Plattform 
der Chipkarte C und insbesondere unabhangig da- 
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von, ob eine virtuelle Maschine zum Einsatz kommt 
oder nicht oder ob die virtuelle Maschine off-card 
oderon-card realisiert ist. 

[0078] An dieser Stelle sei noch einmal darauf hin- 
gewiesen, dass die vorstehende, detaillierte Figuren- 
beschreibung im Zusammenhang mit der erfindungs- 
gemalien Losung durch das Verfahren beschrieben 
worden ist. Vorteilhafte Weiterbildungen, Alternati- 
ven, Vorteile und Merkmale, die im Zusammenhang 
mit dem Verfahren geschildert worden sind, sind 
ebenso auf die anderen Losungen der Aufgabe zu le- 
sen und somit insbesondere auf den mobilen Daten- 
trager, den Mikroprozessor, das Computerpro- 
grammprodukt und auf das Verfahren zum Herstellen 
und/oder zum Warten des mobilen Datentragers an- 
wendbar. Die vorstehend erwahnten Module, Kom- 
ponenten und Einheiten des beschriebenen Verfah- 
rens konnen sowohl in einer verkaufsfahigen Einheit 
bereits integriert sein, sie konnen jedoch auch als ei- 
genstandiges, separates Produkt nachtraglich inte- 
griert werden, ohne dass weitere Maftnahmen an be- 
stehenden Produkten notwendig sind. 

[0079] Die in dieser detaillierten Figurenbeschrei- 
bung beschriebenen Ausfuhrungsformen sollen le- 
diglich Beispiele darstellen und konnen vom Fach- 
mann auf verschiedenste Weise modifiziert werden, 
ohne dass der Bereich der Erfindung verlassen wird. 
Fur einen einschlagigen Fachmann ist es insbeson- 
dere offensichtlich, dass die Erfindung auch als hete- 
rogenes System und teilweise oder vollstandig in 
Software und/oder Hardware und auf mehrere physi- 
kalische Produkte -dabei insbesondere auf Compu- 
terprogrammprodukte - verteilt realisiert sein kann. 

Patentanspruche 

1 . Verfahren zum Betreiben eines mobilen Daten- 
tragers (C), der mitfolgenden Ressourcen ausgestat- 
tet ist: einem Mikroprozessor (MP), einem Datenspei- 
cher (DS), Schnittstellen (SS) fur einen Datenaus- 
tausch zwischen Mikroprozessor (MP) und Daten- 
speicher (DS) und/oder weiteren Modulen, die dem 
mobilen Datentrager (C) zugeordnet sind, wobei auf 
dem mobilen Datentrager (C) unterschiedliche Appli- 
kationen (A) gleichzeitig ausgefuhrt werden konnen, 
indem der mobile Datentrager (C) mittels einer zen- 
tralen Steuerungseinheit (MTK) betrieben wird, die 
den Betrieb des mobilen Datentragers (C) derart 
steuert und/oder uberwacht, indem jeweils einer Ap- 
plikation (A) nach einem Scheduling-Mechanismus 
Ressourcen zugewiesen und/oder der Datenaus- 
tausch gesteuert wird. 

2. Verfahren nach Anspruch 1, dadurch gekenn- 
zeichnet, dass in der Steuerungseinheit (MTK) ein 
hardware-unterstutzter Schutzmechanismus fur den 
Datenspeicher (DS) ausgebildet ist. 



3. Verfahren nach Anspruch 1 oder 2, dadurch 
gekennzeichnet, dass der Scheduling-Mechanismus 
konfigurierbar ist. 

4. Verfahren nach zumindest einem der vorste- 
henden Patentanspruche, dadurch gekennzeichnet, 
dass der Betrieb des mobilen Datentragers (C) mit- 
tels der Steuerungseinheit (MTK) derart gesteuert 
wird, dass der Datenaustausch zwischen unter- 
schiedlichen Anwendungen und/oder zwischen un- 
terschiedlichen Applikationen (A), ausschlielilich 
iiber die Steuerungseinheit (MTK) gesteuert 
und/oder ausgefuhrt wird. 

5. Verfahren nach zumindest einem der vorste- 
henden Patentanspruche, dadurch gekennzeichnet, 
dass der Betrieb des mobilen Datentragers (C) mit- 
tels der Steuerungseinheit (MTK) derart gesteuert 
wird, dass eine parallele odergleichzeitige Kommuni- 
kation mit externen Modulen uber mehrere gleiche 
oder unterschiedliche Hardware-Schnittstellen (SS) 
erfolgt. 

6. Verfahren nach zumindest einem der vorste- 
henden Patentanspruche, dadurch gekennzeichnet, 
dass der mobile Datentrager (C) mehrere Betriebs- 
modi aufweist und dem Betriebsmodus mit der die 
Steuerungseinheit betrieben wird wenigstens so viele 
Rechteeingeraumtwerdenwieden ubrigen Betriebs- 
modi. 

7. Verfahren nach zumindest einem der vorste- 
henden Patentanspruche, dadurch gekennzeichnet, 
dass der Scheduling-Mechanismus automatisch je- 
weils eine Ausfuhrungszeit fur eine Applikation (A) 
beschrankt, indem ein Verbrauch von Rechenzeit 
kontrolliert und Rechenzeit an die jeweiligen Applika- 
tionen (A) zugewiesen wird. 

8. Verfahren nach zumindest einem der vorste- 
henden Patentanspruche, dadurch gekennzeichnet, 
dass der konfigurierbare Mechanismus Rechte be- 
rucksichtigt, die jeweils einer Applikation (A) verge- 
ben werden konnen, und die an untergeordnete 
Sub-Applikationen weitergereicht werden konnen. 

9. Verfahren nach zumindest einem der vorste- 
henden Patentanspruche, dadurch gekennzeichnet, 
dassjede Applikation (A) jeweils einzeln und/oder zu- 
sammen mit anderen Applikationen einen geschutz- 
ten Adressraum des Datenspeichers (DS) hat. 

10. Verfahren nach zumindest einem der vorste- 
henden Patentanspruche, dadurch gekennzeichnet, 
dass die zentrale Steuerungseinrichtung (MTK) zu- 
satzlich alle sicherheitsrelevanten Funktionen steuert 
und/oder uberwacht, die moglicherweise auf ver- 
schiedenen Bauteilen des mobilen Datentragers (C) 
verteilt realisiert sind. 
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11. Mobiler Datentrager (C), auf dem unter- 
schiedliche Applikationen (A) ausgefuhrt werden 
konnen, umfassend folgende Ressourcen: 

- Mikroprozessor (MP), 

- Datenspeicher (DS), 

- Schnittstellen (SS) fur einen Datenaustausch zwi- 
schen Mikroprozessor (MP) und Datenspeicher (DS) 
und/oder weiteren Modulen, die dem mobilen Daten- 
trager (C) zugeordnet sind 

dadurch gekennzeichnet, dass der mobile Datentra- 
ger (C) eine zentrale Steuerungseinheit (MTK) mit ei- 
nem Scheduler umfasst, wobei die Steuerungsein- 
heit (MTK) den Betrieb des mobilen Datentragers (C), 
insbesondere die Ausfuhrung der Applikationen (A), 
derart steuert und/oder uberwacht, dass gleichzeitig 
mehrere Applikationen (A) aktiv sein konnen, indem 
der Scheduler nach einem konfigurierbaren Mecha- 
nismus jeweils einer Applikation Ressourcen zuweist 
und/oder den Datenaustausch steuert. 

12. Mikroprozessor (MP) zum Einsetzen in einen 
mobilen Datentrager (C), auf dem unterschiedliche 
Applikationen (A) ausgefuhrt werden konnen, wobe 
der Mikroprozessor (MP) folgende Ressourcen um- 
fasst: 

- Datenspeicher (DS), 

- Schnittstellen (SS) fur einen Datenaustausch zwi- 
schen Mikroprozessor und Datenspeicher und/oder 
weiteren Modulen, wobei dem Mikroprozessor (MP) 
eine zentrale Steuerungseinheit (MTK) mit einem 
Scheduler zugeordnet ist, und wobei die Steuerungs- 
einheit (MTK) den Betrieb des mobilen Datentragers 
(C), insbesondere die Ausfuhrung der Applikationen 
(A), derart steuert und/oder uberwacht, dass gleich- 
zeitig mehrere Applikationen (A) aktiv sein konnen, 
indem der Scheduler nach einem konfigurierbaren 
Mechanismus jeweils einer Applikation (A) Ressour- 
cen zuweist und/oder den Datenaustausch steuert. 

13. Computerprogrammprodukt, welches direkt 
in einen Datenspeicher (DS) eines programmierba- 
ren mobilen Datentragers (C) oder in eine dem mobi- 
len Datentrager (C) zugeordnete Steuereinrichtung 
ladbar ist, mit Programmcodemitteln, urn alle oder 
ausgewahlte Schritte eines Verfahrens nach einem 
der vorstehenden Verfahrensanspruche auszufuh- 
ren, wenn das Computerprogrammprodukt in dem 
mobilen Datentrager (C) oder in der Steuereinrich- 
tung ausgefuhrt wird. 

14. Computerprogrammprodukt nach Anspruch 
1 2, dadurch gekennzeichnet, dass das Computerpro- 
grammprodukt als Betriebssystem oder Betriebssys- 
temkomponente ausgebildet ist. 

1 5. Verfahren zum Herstellen und/oder zum War- 
ten eines mobilen Datentragers (C), der mit einem 
Verfahren gemali den Merkmalen der vorstehenden 
Verfahrensanspruche betrieben wird, wobei Kompo- 
nenten, insbesondere software-basierte Betriebssys- 



temkomponenten, auch nach Ausgabe des mobilen 
Datentragers (C) durch andere Komponenten ersetzt 
werden konnen. 

Es folgen 3 Blatt Zeichnungen 
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Figur 1 
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